Azure Active Directory’de oturum açma günlükleri
BIR IT yöneticisi olarak, IT ortamının nasıl olduğunu bilmek istersiniz. Sistem durumunuzla ilgili bilgiler, olası sorunları yanıtlamanız gerekip gerek olmadığını değerlendirmenize olanak sağlar.
Bu hedefle sizi desteklemek için Azure Active Directory portalı üç etkinlik günlüğüne erişmeniz için size erişim sağlar:
- Oturum açma bilgileri: Oturum açma bilgileri ve kaynaklarınızı kullanıcılarınız tarafından nasıl kullanılır?
- Denetim: Kullanıcılar ve grup yönetimi gibi kiracınıza uygulanan değişiklikler veya kiracının kaynaklarına uygulanan güncelleştirmeler hakkında bilgi.
- Sağlama: ServiceNow'da grup oluşturma veya Workday'den içe aktarılan kullanıcı gibi sağlama hizmeti tarafından gerçekleştirilen etkinlikler.
Bu makalede oturum açmalar raporuna genel bir bakış yer almaktadır.
Bu ile ne yapabiliriz?
Aşağıdakiler gibi soruların yanıtlarını bulmak için oturum açma günlüğü kullanabilirsiniz:
Belirli bir kullanıcının oturum açma düzeni nedir?
Bir hafta içerisinde kaç kullanıcı oturum açtı?
Bu açılan oturumların durumu nedir?
Who erişesin mi?
Şu bağlantıyı kullanarak her zaman kendi oturum açma geçmişinize erişebilirsiniz: https://mysignins.microsoft.com
Oturum açma günlüğüne erişmek için şu şekilde olması gerekir:
Genel yönetici
Aşağıdaki rollerden bir kullanıcı:
Güvenlik yöneticisi
Güvenlik okuyucusu
Genel okuyucu
Rapor okuyucusu
Hangi Azure AD lisansına ihtiyacınız var?
Oturum açma etkinliği raporu, Azure AD'nin tüm sürümlerinde kullanılabilir. Azure Active Directory P1 veya P2 lisansınız varsa Microsoft Graph API aracılığıyla oturum açma etkinlik raporuna da erişebilirsiniz.
Bunu nasıl bu Azure portal?
Bu Azure portal günlüklere erişmeniz için çeşitli seçenekler sağlar. Örneğin, Azure Active Directory menüsünde günlüğü İzleme bölümünde açabilirsiniz.
Ayrıca, bu bağlantıyı kullanarak doğrudan oturum açma günlüklerine ulaşabilirsiniz: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns
Varsayılan görünüm nedir?
Oturum açma günlüklerinin aşağıdakileri gösteren bir varsayılan liste görünümü vardır:
- Oturum açma tarihi
- İlgili kullanıcı
- Kullanıcının oturum amış olduğu uygulama
- Oturum açma durumu
- Risk algılama durumu
- Çok faktörlü kimlik doğrulaması (MFA) gereksiniminin durumu
Araç çubuğunda Sütunlar’a tıklayarak liste görünümünü özelleştirebilirsiniz.
Sütunlar iletişim kutusu, seçilebilir özniteliklere erişmeyi sağlar. Oturum açma raporunda, sütun olarak verilen oturum açma isteği için birden fazla değeri olan alanlarınız yoktur. Bu, örneğin kimlik doğrulaması ayrıntıları, koşullu erişim verileri ve ağ konumu için doğrudur.
Daha ayrıntılı bilgi almak için liste görünümünden bir öğe seçin.
Oturum açma hata kodu
Oturum açma işlemi başarısız olursa, ilgili günlük öğesinin Temel bilgiler bölümünde nedeni hakkında daha fazla bilgi edinebilirsiniz.
Günlük öğesi size bir hata nedeni sağlar ancak oturum açma hatası arama aracını kullanarak daha fazla bilgi edinebilirsiniz. Örneğin, varsa, bu araç size düzeltme adımları sağlar.
Oturum açma etkinliklerini filtreleme
Bir günlükte yer alan verileri filtre kullanarak size uygun bir düzeye daraltabilirsiniz:
İstek Kimliği - Önemle önemle önem verdiyniz isteğin kimliği.
Kullanıcı - Önem istediğiniz kullanıcının adı veya kullanıcı asıl adı (UPN).
Uygulama - Hedef uygulamanın adı.
Durum - Önem önemsersiniz oturum açma durumu:
Başarılı
Hata
Kesintiye
IP adresi - Kiracınıza bağlanmak için kullanılan cihazın IP adresi.
Konum - Bağlantının başlatıldığı konum:
Şehir
Eyalet / İl
Ülke/Bölge
Kaynak - Oturum açma için kullanılan hizmetin adı.
Kaynak Kimliği - Oturum açma için kullanılan hizmetin kimliği.
İstemci uygulaması - Kiracınıza bağlanmak için kullanılan istemci uygulamasının türü:
Not
Gizlilik taahhütleri nedeniyle, kiracılar arası senaryolarda Azure AD bu alanı giriş kiracısına doldurmak zorunda değildir.
| Name | Modern kimlik doğrulaması | Description |
|---|---|---|
| Kimliği Doğrulanmış SMTP | POP ve IMAP istemcisi tarafından e-posta iletileri göndermek için kullanılır. | |
| Autodiscover | Outlook ve EAS istemcileri tarafından, Exchange Online'daki posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır. | |
| Exchange ActiveSync | Bu filtre, EAS protokolünün denenen tüm oturum açma girişimlerini gösterir. | |
| Tarayıcı |  |
Web tarayıcılarını kullanan kullanıcıların tüm oturum açma girişimlerini gösterir |
| Exchange ActiveSync | İstemci uygulamalarına bağlanmak için Exchange ActiveSync kullanan kullanıcılardan gelen tüm oturum açma girişimlerini Exchange Online | |
| Exchange Online PowerShell | Uzak PowerShell ile Exchange Online bağlanmak için kullanılır. PowerShell için temel kimlik doğrulamasını Exchange Online, bağlanmak için Exchange Online PowerShell modülünü kullansanız gerekir. Yönergeler için bkz. Bağlan çok faktörlü Exchange Online PowerShell'i kullanmaya ilişkin yönergeler. | |
| Exchange Web Hizmetleri | Outlook, Mac için Outlook ve üçüncü taraf uygulamalar tarafından kullanılan programlama arabirimi. | |
| IMAP4 | E-posta almak için IMAP kullanan eski bir posta istemcisi. | |
| HTTP üzerinden MAPI | 2010 ve Outlook tarafından kullanılır. | |
| Mobil uygulamalar ve masaüstü istemcileri | |
Mobil uygulamalar ve Masaüstü istemcileri kullanan kullanıcılardan gelen tüm oturum açma girişimlerini gösterir. |
| Çevrimdışı adres defteri | Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası. | |
| Outlook her yerde (HTTP üzerinden RPC) | Outlook 2016 ve önceki sürümleri tarafından kullanılır. | |
| Outlook hizmeti | Windows 10 için posta ve takvim uygulaması tarafından kullanılır. | |
| POP3 | POP3 kullanarak e-posta almak için eski bir posta istemcisi. | |
| Raporlama Web Hizmetleri | Exchange Online rapor verilerini almak için kullanılır. | |
| Diğer istemciler | İstemci uygulamasının dahil edildiği veya bilinmediği kullanıcılardan gelen tüm oturum açma girişimlerini gösterir. |
İşletim sistemi -cihazda çalışan ve kiracınızda oturum açmayı kullanmış olan işletim sistemi.
Cihaz tarayıcısı -bağlantı bir tarayıcıdan başlatılmışsa, bu alan tarayıcı adına göre filtrelemenize olanak sağlar.
BAĞıNTı kimliği -ETKINLIĞIN bağıntı kimliği.
Koşullu erişim -uygulanan koşullu erişim kurallarının durumu
Uygulanmadı: oturum açma sırasında Kullanıcı ve uygulamaya ilke uygulanmaz.
Başarılı: oturum açma sırasında Kullanıcı ve uygulamaya (diğer koşullar olması gerekmez) uygulanan bir veya daha fazla koşullu erişim ilkesi.
Hata: oturum açma, en az bir koşullu erişim ilkesinin Kullanıcı ve uygulama koşulunu karşıladı ve izin verme denetimleri karşılanmadı ya da erişimi engelle olarak ayarlı değil.
Oturum açma etkinliklerini indirme
En son 250.000 kayıtlarının CSV veya JSON dosyasını oluşturmak için İndir seçeneğine tıklayın. Azure portal dışında çalışmak istiyorsanız , oturum açma verilerini indirme ile başlayın.
Önemli
indirebileceğiniz kayıt sayısı Azure Active Directory rapor bekletme ilkeleritarafından sınırlandırılır.
Oturum açma verileri kısayolları
Azure AD ve Azure portal, oturum açma verilerine yönelik ek giriş noktaları sağlar:
- Kimlik güvenliği korumasına genel bakış
- Kullanıcılar
- Gruplar
- Kurumsal uygulamalar
Kimlik güvenliği koruması 'nda Kullanıcı oturum açma verileri
Kimlik güvenlik koruması Genel Bakış sayfasındaki Kullanıcı oturum açma grafiğinde, oturum açma işlemlerinin haftalık toplamaları gösterilmektedir. Zaman aralığı için varsayılan değer 30 gündür.
Oturum açma grafiğinde bir güne tıkladığınızda, o güne ait oturum açma etkinliklerinin genel bir açıklamasını alırsınız.
Oturum açma etkinlikleri listesinin her satırında aşağıdakiler gösterilir:
- Kim oturum açtı?
- Oturum açmanın hedefi hangi uygulamaydı?
- Oturum açma durumu nedir?
- Oturum açma MFA durumu nedir?
Bir öğeye tıklayarak oturum açma işlemi hakkında daha fazla bilgi alabilirsiniz:
- Kullanıcı Kimliği
- Kullanıcı
- Kullanıcı adı
- Uygulama Kimliği
- Uygulama
- İstemci
- Konum
- IP Adresi
- Tarih
- MFA Gerekli
- Oturum açma durumu
Not
IP adresleri, bir IP adresi arasında kesin bir bağlantı olmaması ve bu adrese sahip bilgisayarın fiziksel olarak bulunduğu bir şekilde verilir. IP adreslerini eşleme, Mobil sağlayıcıların ve VPN 'lerin, istemci cihazının gerçekten kullanıldığı yerden çok büyük olan merkezi havuzlardan IP adresleri yayınlabildiği gerçeyle karmaşıktır. Şu anda, IP adresi fiziksel bir konuma dönüştürülürken izlemeler, kayıt defteri verileri, ters aramalar ve diğer bilgiler temel alınarak en iyi çaba vardır.
Kullanıcılar sayfasında, Etkinlik bölümündeki Oturum açma öğesine tıklayarak tüm kullanıcı oturum açma işlemlerine eksiksiz bir genel bakış elde edebilirsiniz.
Kimlik doğrulaması ayrıntıları
Oturum açma raporu 'nda bulunan kimlik doğrulama ayrıntıları sekmesi, her kimlik doğrulama denemesi için aşağıdaki bilgileri sağlar:
- Uygulanan kimlik doğrulama ilkelerinin listesi (koşullu erişim, Kullanıcı başına MFA, güvenlik Varsayılanları)
- Uygulanan oturum ömür ilkeleri listesi (oturum açma sıklığı, MFA 'yı hatırlama, yapılandırılabilir belirteç ömrü gibi)
- Oturum açmak için kullanılan kimlik doğrulama yöntemlerinin sırası
- Kimlik doğrulama girişiminin başarılı olup olmadığı
- Kimlik doğrulaması denemesinin neden başarılı veya başarısız olduğuna ilişkin ayrıntı
Bu bilgiler, yöneticilerin bir kullanıcının oturum açındaki her adımın sorunlarını gidermelerine ve izleme:
- Multi-Factor Authentication tarafından korunan oturum açma işlemlerinin hacmi
- Oturum ömür ilkelerine bağlı olarak kimlik doğrulama istemi nedeni
- Her kimlik doğrulama yöntemi için kullanım ve başarı oranları
- passwordless kimlik doğrulama yöntemlerinin kullanımı (örneğin, passwordless Telefon oturum açma, FIDO2 ve iş için Windows Hello)
- Kimlik doğrulama gereksinimlerinin, belirteç talepleri (kullanıcılardan bir parola girmesi istenir, bir SMS OTP ve benzeri) tarafından ne sıklıkta karşılandığına ilişkin durumlar
Oturum açma raporunu görüntülerken, kimlik doğrulama ayrıntıları sekmesini seçin:
Not
oath doğrulama kodu , oath donanımı ve yazılım belirteçleri (Microsoft Authenticator uygulaması gibi) için kimlik doğrulama yöntemi olarak günlüğe kaydedilir.
Önemli
Günlük bilgileri tam olarak toplanana kadar, kimlik doğrulama ayrıntıları sekmesi başlangıçta tamamlanmamış veya hatalı verileri gösterebilir. Bilinen örnekler şunlardır:
- Bir oturum açma olayları başlangıçta günlüğe kaydedildiğinde, belirteç iletisindeki talep, yanlış görüntülenir.
- Birincil kimlik doğrulama satırı başlangıçta günlüğe kaydedilmez.
Yönetilen uygulamaların kullanımı
Oturum açma bilgilerinizin uygulama odaklı bir görünümüyle aşağıdakiler gibi sorular yanıtlanabilir:
- Uygulamalarımı kimler kullanıyor?
- Kuruluşunuzdaki en iyi üç uygulama nelerdir?
- En yeni Uygulamam nasıl yapıyor?
Bu verilere yönelik giriş noktası, kuruluşunuzdaki en üst üç uygulama olur. veriler, Enterprise uygulamalar altındaki genel bakış bölümünde yer alan son 30 gün raporu içinde bulunur.
Uygulama kullanımı grafikleri, belirli bir dönemde en iyi üç uygulama için oturum açma işlemlerinin haftalık toplamalarını toplamalar. Zaman dönemi için varsayılan süre 30 gündür.
İsterseniz belirli bir uygulamaya odaklanabilirsiniz.
Uygulama kullanımı grafiğinde bir güne tıkladığınızda, oturum açma etkinliklerinin ayrıntılı bir listesini alırsınız.
Oturum açma işlemleri seçeneği, size tüm uygulamalarınıza ait oturum açma olaylarına genel bir bakış sunar.
etkinlik günlüklerini Microsoft 365
Microsoft 365 yönetim merkeziMicrosoft 365 etkinlik günlüklerini görüntüleyebilirsiniz. Microsoft 365 etkinlik ve Azure AD etkinlik günlüklerinin çok sayıda dizin kaynağını paylaştığı noktayı göz önünde bulundurun. yalnızca Microsoft 365 yönetim merkezi, Microsoft 365 etkinlik günlüklerinin tam görünümünü sağlar.
ayrıca, Office 365 yönetim apı 'lerinikullanarak Microsoft 365 etkinlik günlüklerine programlı bir şekilde erişebilirsiniz.